攻防实战中暴露的高校网络安全问题

今年8月份一过，红方攻击队终于歇了口气。

从7月份国家攻防演习到8月份的省级、行业攻防演习，攻击队一刻也未停歇。大家都想赶在重大节日之前，通过攻防演习尽可能地提前发现问题、解决问题，确保重保期间不出现重大的业务故障和数据泄露问题。

在此期间，深信服分别以进攻方、防守方、组织方、裁判等多个角色，深度参与了多个省教育厅、高校组织的攻防演习，并结合今年5月份教育部组织的攻防演习，总结出了教育用户存在的三类共性网络安全问题：系统安全漏洞、弱口令和人员安全意识薄弱。以上问题也常常被攻击者作为入侵突破口。

这里，列举几个共性问题中需要引起重视的几个点。

01.虚拟化平台的安全问题

在演习中发现多所高校的VMware平台存在vCenter任意文件上传漏洞（CVE-2021-22005），通过该漏洞可以在数据库文件中提取Cookie，进而在浏览器中替换Cookie，从而获取vCenter Web权限，最终导致数据中心信息系统大面积的沦陷。今年VMware不断被推上风口浪尖，3月对俄停服，5月被博通收购，后又陷入裁员风波，上任仅9个月的大中华区总裁原欣也在8月份突然离职。结合当前复杂的国际形势和国产化进程，高校用户也需要考虑替换方案。当然替换的原因除了技术层面，网络安全、数据安全和售后服务也是重要因素。

02.VPN弱口令问题

很多高校通过VPN来发布图书馆资源、信息门户、教务、学工、OA等系统，供师生访问。在带来校外访问校内资源便利的同时，很多高校也因为弱口令问题，被轻松获取到VPN账号和密码信息，进而入侵到内网。近年来火爆的零信任架构被认为是解决该问题的最佳方式。

03.SaaS供应商的供应链问题

很多高校都采购了SaaS应用，这些应用和学校数据中心存在接口连接，有些应用甚至保留了大量的师生数据。如果SaaS厂商出现了安全问题，那么使用这家厂商SaaS应用的所有高校都有可能受到攻击。SaaS厂商本身安全意识和安全防护都比较薄弱，因此教育系统SaaS厂商也成为攻击者入侵高校的一个薄弱突破口。建议学校在选择供应商时，要做好应用的安全防护和厂商人员的安全管理。

04.数据安全的问题

随着数据安全成为近几年的焦点话题，教育系统的网络安全防护重点开始从网站安全转移到数据安全。重保时期的关键要求之一是确保不发生重大的数据泄露事件。然而，在攻防演习中经常发现高校的数据存在很大问题。一是数据共享没有脱敏，没有对API接口进行防护，很容易通过API接口入侵到数据中台。二是学校存在较多采集和保留数据的系统，且这些数据都没有进行加密处理。

高校在进行自身安全建设规划时，大多基于合规需求和防守视角，并参考了各种安全架构模型。但是，基于此设计的安全规划就能在攻防常态化的情况下，有效防御和检测内外部攻击，避免出现数据泄露、系统瘫痪等问题吗？其实，很多教育用户心里也没谱。

本期，深信服从实战攻防的角度，通过深入分析进攻方的技战术，帮助教育用户更好地了解对手，并基于高校的业务现状，给出适合高校的重保防守体系建设建议。

攻防态势对比--不平等的战争

近年来，网络空间攻击态势发生了深刻的变化。当前的网络攻击不仅是攻击者肆意妄为的个人行为，也掺杂了越来越多的国家级力量，网络空间已成为各国角逐的新战场。

教育兴则国家兴，教育强则国家强。教育是民族振兴、社会进步的重要基石。高校不仅承载着教书育人的重任，还承担着大量的科研任务，对引领我国未来经济发展起到了重大作用，也因此成为众多境外APT攻击的目标对象。

攻击组织的主要攻击目标是对高校的网络系统进行长期隐蔽控制，从而在重要活动期间对网页进行篡改、传播反动信息，获取重要的师生和科研数据，以及破坏核心业务等。

相比于传统的个人攻击者行为，攻击组织主要有如下几点变化：

• 针对高校的攻击力量更庞大：攻击组织的背后有情报分析人员、漏洞挖掘团队、武器制作团队以及教育行业专家为其出谋划策和提供“弹药”。
• 更注重对高校的情报收集：关注学校脆弱的暴露面、可访问的攻击路径、人员情况、业务信息、防御手段等。
• 攻击的装备更齐全：利用0day漏洞、账号和钓鱼邮件等方式，突破高校的内部网络，进入内网后通过强对抗的木马、隐蔽隧道等完成后续操作。

高校作为防守方相对于攻击方，现有的防守力量和装备都比较薄弱，可以说这是一场不平等的网络战争。具体表现在以下几点：

• 防守团队薄弱：高校由于人员编制等客观原因，实战安全人员较少，现有团队成员偏运维和管理，缺少预警监测、分析研判的团队成员。
• 暴露面大，可突破入口多：随着教育数字化建设迈入深水区，高校有大量的业务系统暴露在互联网；高校人员结构复杂，有学生、教职员工、家属和第三方人员；现有的分校、分院、分支机构等都可能成为进入校园内网的突破口。
• 缺少屏障，无险可守：高校缺乏纵深防御体系，基本上被攻击者突破边界后，进入内网便是畅通无阻。
• 难以监测全局安全态势：高校由于终端数量多、流量大，往往成为攻击者钓鱼的目标。加之，很多高校没有强制要求师生安装安全客户端，二级学院各自为政，难以有效地监测全校网络和终端的安全情况。

进攻篇：择其弱、攻其亲、破其盾、毁其粮

正所谓知己知彼，百战不殆。防守方需要从攻击者角度去站位思考，分析总结攻方会采取的方法和手段，从而更加有针对性的制定“反制”措施。

攻击者的攻击谋略可归纳为12个字——“择其弱、攻其亲、破其盾、毁其粮”

1.择其弱：选择防守方薄弱的边界作为突破口；

2.攻其亲：顺着可访问到核心系统的路径一步步进攻渗透；

3.破其盾：对抗防守方的防御和检测设备，进而拿下核心系统权限；

4.毁其粮：最终造成数据泄露、业务瘫痪等实质性破坏。

基于攻击谋略，技战术可拆解成如下图：

情报收集：寻找脆弱、隐蔽的从边界到靶标的访问路径

情报收集贯穿整个攻击过程，主要有三个目的：首先，寻找进入校园网的脆弱突破口。其次，寻找从突破口到达核心系统的路径。最后，了解攻击路径上的防护和检测设备便于后期选择适合的武器装备绕过防御和检测。

边界突破：通过脆弱的突破口进到校园网，并建立长期隐蔽的控制隧道

完成情报收集工作后，攻击者就会利用手上的武器装备尝试突破校园内网，并在这个过程中逐步提权，最终达到长期隐蔽控制的效果，将其作为通过互联网控制核心系统的跳板机。系统漏洞、弱口令、网络钓鱼是三种最常用的边界突破方式。

内网渗透：找到核心系统的访问路径，并最终拿下核心系统权限

进到内网后，通过信息收集和横向渗透，找到访问核心系统的路径，并利用漏洞拿下核心系统权限。

造成破坏：业务停摆、数据泄露，甚至造成不良社会影响

对高校网络安全层面的破坏主要分为三个层面：

• 破坏核心系统和数据，造成业务不能正常运行，影响日常教学；
• 窃取师生个人信息及科研数据/成果，造成重大数据泄露事故；
• 对学校网站进行篡改从而传播不良信息，或者通过网页挂马对师生进行诈骗，二者都会对学校形象造成极大的负面影响。

综上所述，寻找脆弱的边界突破口进入校园网是成功攻击的关键。攻击者常用的攻击路径可以归类为以下十条：

1、利用联网的系统漏洞突破，进入校园内网进而横移渗透拿下核心系统权限；

2、通过购买或弱口令暴破拿到合法的VPN账号、统一身份认证账号等登录进入校园内网，进而横向渗透拿下核心系统权限；

3、通过钓鱼控制师生的终端，突破进入校园内网，进而横移渗透拿下核心系统权限；

4、通过供应链软件更新投毒获取系统权限，突破进入校园内网，进而横移渗透拿下核心系统权限；

5、通过分校/医院/机构薄弱点，控制进入校园内网，进而横移渗透拿下核心系统权限；

6、通过泄露的管理员账号/弱口令访问核心系统，进而提权，拿下权限；

7、通过运维人员账号/控制运维人员终端访问核心系统，进而提权拿下权限；

8、通过摄像头、POS机等物联网接入，内网漫游找到双网卡主机，突破校园内网进而横移渗透，拿下核心系统权限；

9、无线投毒控制校园网终端，进而横向渗透拿下核心系统权限；

10、利用校级APP漏洞，突破进入校园内网，横向渗透拿下核心系统权限。

防守篇：坚壁清野、严阵以待、高垒伏锐、反客为主

面对攻击方的进攻，高校作为防守方应该如何应对？

高校用户可以记住16字口诀：——“坚壁清野、严阵以待、高垒伏锐、反客为主”。

1.坚壁清野：收缩暴露面，减少攻击者可利用的突破口；

2.严阵以待：在边界部署安全设备，对入口严防死守；

3.高垒伏锐：顺着黑客进攻的路径，在攻击影响到核心系统之前进行纵深防御和纵深检测，第一时间发现攻击的蛛丝马迹，实现快速发现和快速处置；

4.反客为主：对攻击者进行溯源反制，收回攻击终端权限，实现反客为主。

暴露面管理--消减攻击者可利用的脆弱点

人始终是最大的安全隐患，从历年情况来看，师生被钓鱼的事件层出不穷。因此，各高校单位既要通过培训和宣讲不断地提高师生及软硬件供应商的网络安全意识，又需要找到并清除或整改已泄露的敏感信息。如弱口令、特权账号等。同时，需要及时修补系统漏洞，增强网络和设备的安全配置，避免被攻击者利用。

攻击入口的全方位安全防御

高校常被攻击的入口有很多，其中系统漏洞、账号、终端是最常见的三种入口，针对以上三个入口的防御思路如下：

（一）系统漏洞防护

系统漏洞防护流程可参考下图：

1. 在校园网入口处部署防火墙

当攻击者使用自动化扫描工具扫描学校系统，确认是否有可利用的漏洞接口时，通过防火墙可以主动发起JS交互，生成工具指纹。当攻击者使用高级工具进行攻击时，防火墙的工具指纹会匹配指纹库进行风险拦截。而当攻击者使用python等非浏览器工具进行攻击时，由于没有回传相应的指纹，此种情况下则会被防火墙直接拦截。通过上述方式，可以有效阻止攻击者通过扫描工具检测系统的可利用漏洞，迫使攻击者手动校验，提高漏洞利用难度。

2. 通过零信任网关对内部应用进行隐藏收缩

当攻击者使用浏览器进行正常访问时，防火墙不会进行拦截限制。此种情况下，借助零信任网关，对外仅暴露零信任网关IP和端口，可以有效避免被攻击者在互联网直接访问，从而收敛应用服务的网络暴露面。攻击者只能找到公众联网系统的漏洞，以及诱捕蜜罐特意留下的漏洞，无法找到内网漏洞。

3. 通过WAF识别并阻止漏洞利用

当攻击者找到公众联网系统的漏洞接口后，下一步就会尝试漏洞利用。此时，通过防火墙的WAF智能语义引擎可以还原攻击语法，识别危险特征，并进行拦截。

4. 通过蜜罐继续攻击诱捕

当攻击者对蜜罐的漏洞接口进行漏洞利用时，防火墙会直接放行，从而误导攻击者。攻击者花费大量的精力拿下诱捕蜜罐的权限，过程中却被防火墙捕获整个攻击指纹。后续若匹配到相同指纹，防火墙会直接进行封堵。

（二）账号入口防御

1、提前排查互联网泄露的账号密码，并做整改。

2、启用强密码规则，避免被弱口令暴破。

3、使用零信任网关替换VPN，增强业务访问安全管控，在出现账号登录异常时，启用二次验证，并要求进行双因素认证。

4、VPN访问，按需最小化控制权限范围。

5、零信任替换VPN，增强设备防护能力，避免设备因漏洞被拿下。

（三）终端入口防御

1、终端漏洞管理，更新最新系统版本，及时打补丁，不易打补丁的，可通过虚拟补丁防护，避免存在可利用的漏洞；

2、加强师生安全意识，避免被钓鱼，不轻易点击非信任的链接和附件，避免终端失陷；

3、安装杀毒软件、EDR，对攻击者的工具、木马、远程漏洞利用等进行识别防御，避免被当作跳板入侵内网。

对攻击路径进行纵深防御

纵深防御的核心就是给攻击者层层设卡，让攻击者寸步难行，即使突破了边界，也不能轻易地访问到靶标进而拿下权限；在此过程中让攻击者留下更多攻击痕迹，便于后续的高效检测。

纵深防御有四个维度：

网络访问控制

严格做好不同业务区域的网络分区，不同分区间使用防火墙进行访问控制和安全防护，避免从边界直接访问到核心系统。

资源的访问控制

通过堡垒机、零信任、数据库安全运维审计、虚拟桌面等，使攻击者无法随意访问服务器、数据库、网络设备。同时，结合双因素认证管理等措施，确保失陷主机无法直接访问业务资源。

应用访问控制

如果攻击者突破了层层防守访问到了核心系统，需要依赖于系统自身的安全性，这也是最后的防线。具体包括SDL开发安全、上线代码检测、认证授权、加密通信、漏洞管理、系统的主机安全防护等，通过上述措施提升应用系统的健壮性，避免系统权限被拿下、数据信息被窃取。

高效运营闭环

如若在任何阶段发现问题，需要第一时间将问题设备隔离排查处置，避免影响范围扩大。在日常工作中，高校信息中心可以通过建立工单流程拉通二级学院进行事件协同处置，引入SOAR自动化处置技术提高处置效率，引入安全工作绩效评价体系等，提高安全运营效率，助力事件的快速闭环处置。

纵深检测，还原攻击链

攻击者在攻击路线上会留下痕迹，如果我们能全方位地监测到这些痕迹，提早发现问题，就可以在攻击者拿下靶标前快速闭环处置。

1、网络全流量采集：针对高带宽的互联网出口，可以使用出口防火墙或者上网审计设备作为探针。基于防火墙和审计设备在出口可以获取到整个出口流量数据；在数据中心出口部署流量探针，就可以采集到上网场景和数据中心场景的流量；针对二级学院到数据中心或者其他区域的东西向流量，通过二级学院出口的边界防火墙去做相应的采集。

2、终端日志采集：首先，提供可自行下载的正版EDR软件。其次，在服务器和重要岗位工作人员（运维、开发、科研、财务）的电脑上率先安装EDR设备进行防护和检测。最后，循序渐进地在全校范围内进行推广。

3、攻击链分析：通常而言，进行纵深检测后，安全设备会产生大量的告警和日志，严重干扰安全运维人员的视线。这就需要把这些终端和网络上产生的告警日志归因成事件，并且把一个个孤立的事件基于攻击的目的、时间、IP等串成一个完整的攻击链条，进而有效地进行事件的处置。

这里需要依赖平台的机器学习、端点+网络的关联引擎、IOC情报和IOA行为分析引擎能力等，这也是XDR技术目前的优势。同时，建议配合安全专家的能力进行研判。

溯源反制

最后是溯源反制。

溯源反制分为三步：还原攻击链，包括TTPS，IOC等；其次，溯源定位攻击者的网络和真实身份；最后，反制到攻击者的攻击装备。

总结

高校作为众多境外APT攻击的目标对象，在重保期间势必会面临更严重的网络安全威胁，只有做好“备战”才能更好的“胜战”。本文希望通过梳理攻击方的技战术及防守战术，以期让广大教育用户了解当前攻防双方的力量差距，帮助高校更好进行安全建设整体规划。